Il panorama della sicurezza informatica è in continuo mutamento, con nuovi attori malevoli che emergono regolarmente. Recentemente, i cybercriminali dietro il malware More_eggs hanno ampliato le loro operazioni introducendo due nuove famiglie di malware. Questo segna un'espansione significativa del loro modello di business basato su malware as a service (MaaS).

RevC2: Un Nuovo Backdoor

Una delle nuove minacce è un backdoor chiamato RevC2, progettato per rubare informazioni sensibili come cookie e password. RevC2 utilizza WebSockets per comunicare con il suo server di comando e controllo (C2), consentendo ai malintenzionati di eseguire codice remoto sui sistemi compromessi. Questa capacità rappresenta una minaccia significativa per la sicurezza dei dati, poiché i cybercriminali possono accedere e manipolare informazioni critiche.

Venom Loader: Un Caricatore Personalizzato

Accanto al RevC2, è stato introdotto il Venom Loader, un caricatore di malware personalizzato per ogni vittima. Questo strumento sfrutta il nome del computer della vittima per codificare il payload, rendendo il rilevamento e la difesa più complessi. Venom Loader serve a distribuire versioni più leggere del backdoor More_eggs, principalmente facilitando l'esecuzione di codice remoto.

Distribuzione attraverso Campagne Mirate

La distribuzione di questi malware avviene attraverso campagne mirate, osservate tra agosto e ottobre 2024. L'attore di minaccia dietro queste operazioni è noto come Venom Spider, anche conosciuto come Golden Chickens. Sebbene il meccanismo esatto di distribuzione rimanga sconosciuto, si sa che una delle campagne inizia con VenomLNK. Questo strumento, oltre a visualizzare un'immagine decoy, esegue RevC2, fornendo un accesso iniziale al sistema bersaglio.

Un'altra campagna utilizza VenomLNK per eseguire Venom Loader, che a sua volta lancia una versione lite di More_eggs. Questa variante leggera è progettata per fornire esclusivamente capacità di esecuzione di codice remoto, riducendo al minimo le funzionalità per evitare il rilevamento.

Evoluzione delle Minacce e Nuove Scoperte

Queste nuove scoperte dimostrano che i creatori di malware continuano a evolvere i loro strumenti, nonostante le azioni giudiziarie contro alcuni membri del gruppo. L'analisi di queste minacce evidenzia la necessità di strategie di difesa aggiornate e proattive per contrastare le sofisticate tecniche di cybercrime.

Infine, uno studio di ANY.RUN ha svelato un altro malware, PSLoramyra, che utilizza tecniche fileless per distribuire il malware Quasar RAT. Questo nuovo malware impiega script PowerShell, VBS e BAT per iniettare payload malevoli direttamente in memoria, garantendo accesso persistente ai sistemi infetti.